开发安全的议题随著资安意识擡头浮上台面,避免在开发过程曝露重要的系统帐密资料,是相当重要的一环,一旦这类资料曝光,有可能导致极为严重的后果。
究竟为何开发人员造成这样的情况,研究人员推测,开发者只是单纯的想要将PAT纳入原始码,并执行Python指令码将原始码编译成PYC二进位档,然后清除了原始码当中的PAT,最终将原始码及二进位档一并推送到Docker映像档。
研究人员指出,这起事故代表了开发人员已留意原始码是否存在相关机密,并透过IDE或是其他开发工具进行检测来避免外泄,但这样的情况无法确认已编译的档案是否曝险。对此,他们呼吁开发人员应采用新版的GitHub令牌,并限缩能够存取的应用程式及资源范围。